国家电网公司企业标准
- 格式:doc
- 大小:832.00 KB
- 文档页数:22
国家电网公司企业标准SG/T XXXXX.XX电网企业门户系统认证设计和管理规范Portal authentication for electric grid enterpriseDesign and management specifications(初稿)YYYY-MM-DD发布YYYY-MM-DD实施国家电力公司信息化工作办公室发布SG/T XXXXX.X2 目次1范围 (5)2规范性引用文件 (5)3术语和定义 (5)4电网企业门户系统认证框架 (7)4.1认证的概念 (7)4.2认证的方式方法 (8)4.2.1故障转移cookie (8)4.2.2CDSSO 标识标记 (8)4.2.3客户机端证书 (9)4.2.4表单认证(用户名和密码) (9)4.2.5SPNEGO(Kerberos) (9)4.2.6基本认证(用户名和密码) (9)4.2.7HTTP 头 (9)4.2.8IP 地址 (10)4.3电网企业认证的范围 (10)4.4电网企业认证实施的步骤 (11)5认证标准的具体内容 (11)5.1用户安全域体系的建立 (11)5.2用户身份的统一管理 (12)5.3统一的身份认证和授权 (12)5.4用户身份ID编码规则 (13)5.4.1定义原则: (13)5.4.2用户ID编码遵循以下原则: (13)5.5用户身份认证技术规范 (13)5.5.1认证过程简介 (13)5.5.2认证过程概述 (14)5.5.3受支持的会话数据类型 (14)5.5.4受支持的认证方法 (14)5.5.5HTTP头认证管理 (15)5.5.6数字证书认证管理 (16)5.6用户管理流程 (16)5.6.1总体流程 (17)5.6.2添加用户 (17)5.6.3删除用户 (19)5.6.4信息变动—不跨域 (19)5.6.5信息变动—跨域调动 (19)5.6.6管理员变更――超级管理员变更 (20)5.7统一域名管理 (20)5.8附录 (21)SG/T XXXXX.X6认证管理工具 (21)7本标准的更新和管理 (22)3SG/T XXXXX.X4前言本部分由国家电网公司信息化工作办公室提出并归口。
本部分的起草单位:北京电力公司、海联讯信息网络科技(深圳)有限公司本部分主要起草人:SG/T XXXXX.X1范围本标准规范围绕电网企业信息在事务处理、数据交换与共享以及信息服务、应用集成过程中对统一认证的需求,规定了认证的基本概念、规范表达、范围、方式方法、命名等标准。
本标准适用于电网企业信息集成及资源访问。
2规范性引用文件下列文件中的条款通过本标准规范的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准规范达成协议的各方使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
Q/GDWZ133-2005 《国家电网公司统一域名系统建设规范》国家电网科[2005]824号3术语和定义3.1 单点登录Single Sign-On指用户在一定范围内,只需登录其中一个系统就可以对其它系统进行访问而不需要再次登录。
3.2 认证Authentication是单点登录的表现形式,要单点登录必须实现统一的认证。
3.3 授权 Authorization为经过认证的用户分配权限,以确定用户可以访问哪些资源。
3.4 用户目录 directory用来保存用户标识的结构,按照各级组织机构以目录树的方式表现。
3.5 用户标识id注册机构内与语言无关的唯一标识用户身份的标识。
给定相关环境的对象的无歧义的名称。
5SG/T XXXXX.X3.6 版本 version注册机构内,一套逐渐完善的认证规范中的一个认证规范发布的标识。
3.7 实体 entity任何具体或抽象的事物,包括事物间的联系。
3.8 对象 object可以想象或感觉的现实世界的任一部分。
3.9 对象类 object class对象集。
现实世界中的想法、抽象概念或事物的集合,有清楚的边界和含义,并且特性和行为遵循同样的规则而能够加以标识3.10 属性 attribute某个对象或实体的特征。
3.11 定义 definition表述人和事物的基本特性、或者人或事物类别的词或短语;要回答“X是什么?”或“一个X属于什么?”这样的问题;一个词或词组含义的表述[韦氏世界英语大词典,第三版,1986]。
一个数据元基本特性的陈述,并使之区别于其它数据元。
3.12 相关环境 context对使用名称或产生名称的应用环境或应用规程的指明或描述。
3.13 特性 property对象类的所有个体所共有的某种性质。
3.14 特性术语 property term数据元名称的一个成分,用于表述对象类的特性。
3.15 限定术语 qualifier term帮助定义和区分数据元的某个名称的词或词组。
3.16表示 representation值域、数据类型的组合,必要时也包括度量单位或字符集3.17表示术语 representation term数据元名称的成分,用于描述数据元的表示内容。
3.18 注册机构标识符(RAI)registration anthory identifier赋予注册机构的标识符。
3.19 版本标识符 version identifier赋予版本的一个标识符。
用于提交或修改数据元注册。
6SG/T XXXXX.X73.20 分类模式 classification scheme依据对象所具有的共同特征,如:起源、组成、结构、应用和功能,而对其进行的排列或划分。
3.21 关键字 keyword用于数据元检索的一个或多个有意义的字词。
3.22 分类法 taxonomy依据类及子类间的固有关系进行分类的方法。
3.23 主题词表 thesaurus按给定顺序排列参照词汇,其中显示和标识了词汇间的关系。
3.24 分类的成分 classified component可以依据一个以上分类模式进行分类的数据元的成分。
这些成分包括对象类、特性、表示类、数据元概念、值域和数据元。
3.25 用户需要对应用进行访问的对象,可以是具体的某个人,也可以是其它的应用。
3.26 域名4 电网企业门户系统认证框架4.1 认证的概念图一 SSO 的结构模型根据图一所示,认证是以单点登录为基础的,认证的前提是用户注册库的统一及对象和SG/T XXXXX.X规则的集中管理。
在此条件下,用户不能直接对访问者及目标进行访问,用户在访问这些系统前必须在用户注册库里发现访问用户的有效标识,并通过口令验证。
在确认用户合法后,要经过策略管理器找到该用户所对应的对象和规则,再经过策略执行者来引领用户去目标进行访问。
对于目标和被访问者而言,凡是经过策略管理器认证的用户都是合法的,同时为了保证访问的安全性,目标可以通过策略管理器对用户是否具有授权进行再次验证。
4.2 认证的方式方法4.2.1故障转移cookie当认证服务器不可用时可以保留客户机和服务器之间的认证会话的认证方法,改方法称为故障转移认证。
故障转移认证使客户机可以连接到另一个认证服务器,并创建包含相同用户会话数据和用户凭证的认证会话。
故障转移认证事件的事件顺序是:1.客户机(浏览器)尝试访问受保护资源,客户机请求转至控制对复制认证服务器的访问权的负载均衡器。
2.负载均衡器选择一个目标认证服务器并转发该用户请求。
3.客户机使用所支持的认证方法之一成功认证到认证服务器。
4.认证服务器创建一个包含客户机认证信息的故障转移认证cookie并将该cookie发送到客户机。
5.对于每个后续的请求,客户机都通过负载均衡器将该cookie发送到认证服务器,认证服务器处理每个请求。
6.如果负载均衡器发现认证服务器不可访问,则客户机请求会重定向到另一复制认证服务器。
7.该复制认证服务器配置为每次尝试认证用户时都查找故障转移认证cookie是否存在。
8.认证服务器使用cookie中的信息建立与客户机的会话,而不要求客户机再次手工登录,客户机的会话数据和用户凭证会建立,并且对受保护资源的请求得到处理。
9.从一个认证服务器到另一个认证服务器的会话更改对客户机是透明的,因为这些认证服务器包含完全相同的资源,客户机会话会继续而不被中断。
4.2.2CDSSO 标识标记跨域单一注册(CDSSO)提供了一种用于在唯一服务器和域之间转移用户凭证的缺省机制。
CDSSO允许Web用户在请求资源时执行单一注册并在两个独立的安全域之间无缝移动。
CDSSO通过允许集成多个安全域,支持可伸缩网络体系结构的目的。
例如,可以用两个或多个唯一的域设置一个大型公共外部网――每个唯一的域都有自己的用户和对象空间。
CDSSO允许用户使用单一注册在域之间移动。
8SG/T XXXXX.X当用户请求位于另一域中的某个资源时,CDSSO机制将已加密的用户标识标记从第一个域转移到第二个域,在此标记中的身份信息向接受域表示在第一个域中成功认证用户,身份并不包含密码信息,接收服务器使用此标记为该用户在其自己的高速缓存中构建凭证,不强制用户执行附加的登录。
4.2.3客户机端证书客户机端证书认证使客户机可以使用客户机端数字证书请求在安全域中使用的认证身份。
当认证成功时,认证服务器可以获取一个用于为该用户构建凭证的身份,该凭证置顶要授予该用户的许可权和权限。
4.2.4表单认证(用户名和密码)表单认证可作为对标准基本认证机制的备用机制。
这种方法可从认证服务器产生定制HTML登录表单,而不是从基本认证期间产生标准登录提示。
使用寄予表单的登录时,浏览器并不像它在基本认证中所做的那样对用户名和密码信息进行高速缓存。
4.2.5SPNEGO(Kerberos)认证服务器应支持SPNEGO协议和Kerberos认证(在Windows客户机中使用)以达到Windows桌面单一注册。
SPNEGO协议允许客户机(浏览器)和服务器对关于要使用的认证机制进行协商,浏览器显示的客户机身份可以由WebSEAL使用Kerberos认证机制验证。
解决方案要求将认证服务器配置到一个Active Directory域中,并且WebSEAL能够访问一个Kerberos密钥分发中心。
此外,Internet Explorer客户机必须配置为联系认证服务器时使用SPNEGO协议和Kerberos认证。
4.2.6基本认证(用户名和密码)基本认证(BA)是将用户名和密码提供给认证机制的标准方法。
BA由HTTP协议定义,并可通过HTTP和HTTPS实现。
4.2.7HTTP 头认证服务器应提供一个认证模块,基于从定制HTTP头信息中获取的由客户机或为妥代理提供的信息认证用户。